Guías y tutoriales

Cientos de tutoriales y guías paso a paso cuidadosamente escritas por nuestro equipo de soporte.

Firewall Perimetral de Capa 4 Gestionable

¿Qué es un Firewall?

Un firewall (llamado también “cortafuego”), es un sistema que permite proteger a un servidor o una red de servidores de las intrusiones que provienen de otra red. El uso más común es utilizarlo para proteger tu red de internet.

¿Cómo funciona un Firewall?

Un firewall funciona como el personal de seguridad en la puerta de una discoteca. Todo tráfico que no esté en la lista permitida, no puede entrar o salir. Esta lista de un firewall contiene un conjunto de reglas predefinidas que permiten:

  • Autorizar una conexión (Allow)
  • Bloquear una conexión avisando al emisor (Deny)
  • Bloquear una conexión sin avisar al emisor (Drop)

Existen dos tipos de políticas de seguridad:

  • Aceptar explícitamente y denegar todo lo demás: “todo lo que está en la lista puede pasar, lo demás está prohibido”.
  • Denegar explícitamente y aceptar todo lo demás: "todo lo que está en la lista está prohibido, lo demás puede pasar".

El primer método es el más seguro, pero requiere de una definición precisa de las necesidades de comunicación de toda la red. De este modo nos aseguramos de bloquear ante la duda y dejar pasar solo lo que conocemos.

¿Qué significa Firewall de capa 4?

La principal diferencia entre los firewalls conocidos como capa 3 o capa 4, reside en la capacidad de éstos de acordarse de los paquetes analizados y analizar sesiones.

  • L3 Firewalls o firewalls de capa 3 (es decir, los firewalls de filtrado de paquetes): filtro de tráfico basado únicamente en la IP de origen/destino, el puerto y el protocolo (conocidos tamibén como stateless packet inspection).
  • L4 Firewalls o firewalls de capa 4 (es decir, los firewalls de filtrado de sesiones): capacidad de hacer lo anterior, además de añadir la capacidad de realizar un seguimiento activo de las conexiones de red, y permitir/denegar el tráfico basado en el estado de esas sesiones (es decir, stateful packet inspection).

También debes conocer que existen nuevos firewalls, y más modernos, que son capaces de analizar otro tipo de tráfico o, mejor dicho, profundizar más en lo que un usuario está solicitando a tu servidor y tomar mejores decisiones para bloquear o no. Siempre basándose en ofrecer la máxima seguridad. Estos firewalls son llamados firewalls de nueva generación ("Next Generation Firewalls") o firewalls de capa 7.

  • L7 Firewalls o firewalls de capa 7 (es decir, los firewalls de filtrado de aplicaciones): capacidad de hacer lo anterior, además de añadir la capacidad de analizar si el tráfico pertenece a una aplicación u otra y tomar decisiones en base a si puede ser nocivo o no para dicha aplicación.

¿Qué significa Firewall Gestionable?

Que sea Gestionable significa que tú mismo puedas definir, crear, modificar o eliminar tanto las reglas de filtrado, como las acciones que realiza el Firewall en cualquier momento y para cualquiera de las IPs de tu servidor o Cloud. Para ello, SW Panel te proporciona una serie de opciones y herramientas que te permitirán, de forma muy sencilla, personalizar tu Firewall y, en consecuencia, proteger tu entorno y tus datos.

¿Qué es una regla de Firewall?

Una regla de Firewall es un conjunto de condiciones que permiten al Firewall determinar si un tráfico debe gestionarse y qué tipo de gestión debe hacerse sobre él.

  • Partes y condiciones de una regla

Una regla se forma a través de diferentes partes y condiciones que detallamos a continuación:

  • Tráfico

    El tráfico es el flujo de datos que pasa por la red hacia o hasta tu Cloud o servidor

    El tráfico lo podemos

    • permitir (Allow)
    • denegar (Deny)

    El tráfico puede ser

    • De entrada o Incoming: de internet hacia tu cloud o servidor
    • De salida o Outgoing: de tu cloud o servidor hacia Internet
  • IPs

    Las IPs indican el origen o el destino del tráfico que deseamos filtrar.

    IP de origen

    Indica la IP des de la que recibiremos el tráfico. Seleccionando "cualquier IP" significa que esta regla afecta a todas las IPs de Internet.

    Destino

    Indica a qué IP de nuestro Cloud o servidor deseamos aplicar esta regla.

    Si nuestro Cloud o Servidor tiene varias IPs podremos crear reglas independientes para cada una de nuestras IPs

  • Protocolos

    Indicaremos los protocolos de comunicación usados sobre los que deseamos aplicar la regla. Se aceptan protocolos TCP o UDP.

    TCP (Transmission Control Protocol)

    TCP es usado en gran parte de las comunicaciones de datos.

    Funciones de TCP

    En la pila de protocolos TCP/IP, TCP es la capa intermedia entre el protocolo de red (IP) y la aplicación. Muchas veces, las aplicaciones necesitan que la comunicación a través de la red sea confiable. Para ello se implementa el protocolo TCP dado que asegura que los datos que emite el cliente sean recibidos por el servidor sin errores y en el mismo orden que fueron emitidos, a pesar de trabajar con los servicios de la capa IP, la cual no es confiable. Es un protocolo orientado a la conexión, ya que el cliente y el servidor deben anunciarse y aceptar la conexión antes de comenzar a transmitir los datos a ese usuario que debe recibirlos.

    Características del TCP

    • Permite colocar los segmentos nuevamente en orden cuando vienen del protocolo IP.
    • Permite el monitoreo del flujo de los datos y así evitar la saturación de la red.
    • Permite que los datos se formen en segmentos de longitud variada para "entregarlos" al protocolo IP.
    • Permite multiplexar los datos, es decir, que la información que viene de diferentes fuentes (por ejemplo, aplicaciones) en la misma línea pueda circular simultáneamente.
    • Por último, permite comenzar y finalizar la comunicación amablemente, sin colisiones.

    Formato de los segmentos TCP

    En el nivel de transporte, los paquetes de bits que constituyen las unidades de datos de protocolo TCP se llaman "segmentos".

    UDP (User Datagram Protocol)

    Es un protocolo mínimo de nivel de transporte orientado a mensajes documentado en el RFC 768 de la IETF.

    En la familia de protocolos de Internet UDP proporciona una sencilla interfaz entre la capa de red y la capa de aplicación. UDP no otorga garantías para la entrega de sus mensajes (por lo que realmente no se debería encontrar en la capa 4) y el origen UDP no retiene estados de los mensajes UDP que han sido enviados a la red. UDP sólo añade multiplexado de aplicación y suma de verificación de la cabecera y la carga útil. Cualquier tipo de garantías para la transmisión de la información deben ser implementadas en capas superiores.

    Uso en aplicaciones

    La mayoría de las aplicaciones claves de Internet utilizan el protocolo UDP, incluyendo: el Sistema de Nombres de Dominio, donde las consultas deben ser rápidas y solo contaran de una sola solicitud, luego de un paquete único de respuesta, el Protocolo de Administración de Red, el Protocolo de Información de Enrutamiento (RIP) y el Protocolo de Configuración dinámica de host.

  • Puertos

    TCP y UDP utilizan puertos para permitir la comunicación entre aplicaciones. El campo de puerto tiene una longitud de 16 bits, por lo que el rango de valores válidos va de 0 a 65535. El puerto 0 está reservado, pero es un valor permitido como puerto origen si el proceso emisor no espera recibir mensajes como respuesta.

    • Los puertos 1 a 1023 se llaman puertos "bien conocidos" y en sistemas operativos tipo Unix enlazar con uno de estos puertos requiere acceso como superusuario.
    • Los puertos 1024 a 49.151 son puertos registrados.
    • Los puertos 49.152 a 65.535 son puertos dinámicos y son utilizados como puertos temporales, sobre todo por los clientes al comunicarse con los servidores.

    En el caso de nuestro firewall perimetral, indica el puerto que gestionará la regla. Existe la posibilidad de no especificar ningún puerto y se gestionará el tráfico de cualquier puerto, así cómo la posibilidad de especificar un conjunto o rango de puertos.

Activación de la Gestión de Firewall de Capa 4

Activación usando el Dashboard del Servicio

  • El primer paso será elegir el Cloud o servidor en el que deseas activar la gestión de Firewall

    Acude al árbol de servicios de tu SW Panel.

    enter image description here

    Selecciona, pulsando sobre él, el servidor o Cloud en el que deseas activar la gestión de Firewall.

  • Una vez seleccionado, SW Panel te mostrará el Dashboard de este servicio.

    En el Dashboard encontrarás el cuadro de “Mejoras Disponibles”, y en él encontrarás la opción de “Gestión Firewall Capa 4” y un interruptor para activar o desactivar en su derecha.

    enter image description here

    Pulsa sobre el interruptor para activarlo.

    Una vez lo hayas pulsado, accederás a la pantalla de confirmación de la activación. Simplemente marca el “checkbox” del cuadro azul y confirma la activación pulsando sobre el botón inferior “Activar Ahora”.

    enter image description here

    Así de simple, en unos segundos ya estará activado, y ahora el Dashboard del servicio te mostrará el interruptor en verde conforme ya lo tienes activado.

Activación mediante menú de gestión del servicio

  • El primer paso será acceder al árbol de servicios de tu SW Panel.

    Busca el Cloud o servidor al que deseas activar la Gestión de Firewall Capa 4 y pulsa para abrir el menú “Gestionar”

    enter image description here

    Dentro del menú encontrarás el apartado “Servicios de Seguridad”, pulsa sobre la opción “Seguridad Perimetral”

    enter image description here

  • SW Panel te llevará a la pestaña de Perfiles de Seguridad de tu servicio

    En esta pestaña encontrarás un botón azul que te permitirá activar la gestión de tu Firewall.

    enter image description here

    Una vez hayas pulsado accederás a la pantalla de confirmación de la activación. Simplemente marca el “checkbox” del quadro azul y confirma la activación pulsando sobre el botón inferior “Activar Ahora”.

    enter image description here

    Así de simple, en unos segundos ya estará activado, y ahora el Dashboard del servicio te mostrará el interruptor en verde conforme ya lo tienes activado.

Desactivación de la Gestión de Firewall Capa 4

  • El primer paso será elegir el Cloud o servidor sobre el que deseas desactivar la gestión de Firewall

    Acude al árbol de servicios de tu SW Panel.

    enter image description here

    Selecciona, pulsando sobre él, el servidor o Cloud en el que deseas desactivar la gestión de Firewall.

  • Una vez seleccionado, SW Panel te mostrará el Dashboard de este servicio.

    En el Dashboard encontrarás el cuadro de “Mejoras Disponibles” dónde aparecerá la opción de “Gestión Firewall Capa 4” y un interruptor que estará activo (verde).

    Pulsa sobre el interruptor para desactivarlo.

    Una vez hayas pulsado, accederás a la pantalla de confirmación de la desactivación. Simplemente marca el “checkbox” del cuadro azul y confirma que quieres desactivar la Gestión de Firewall Capa 4 pulsando sobre el botón “Desactivar ahora”.

    enter image description here

    Así de simple, en unos segundos se desactivará, y ahora el Dashboard del servicio te mostrará el interruptor en blanco (apagado).

Importante:

Cuando desactivas la Gestión de Firewall Capa 4 todas las reglas que hayas creado y todas las IPs que hayas Baneado se eliminarán, pasando el Firewall a funcionar en modo transparente o estándar de nuevo.

Gestionar mi Firewall perimetral de Capa 4

Una vez hayas activado la gestión, aparecerá en el menú lateral de SW Panel en el Dashboard de tu servicio, dentro de “Seguridad Perimetral” la opción de “Gestión Firewall de Capa 4”

enter image description here

Pulsa sobre esta opción y accederás a tu Firewall de Capa 4 para el servicio que tengas seleccionado.

Tu Firewall de capa 4 te permitirá la gestión completa a través de 3 grandes bloques de seguridad:

  • Perfiles de Seguridad
  • Reglas de Firewall
  • Bloqueo de IPs

Pestaña de Perfiles de Seguridad

Un perfil de seguridad predefinido es un conjunto de reglas, que ya ofrece de forma automática SW Panel, que se aplicarán a tu Firewall de Capa 4 para permitir que los servicios asociados a cada perfil funcionen correctamente y de forma segura.

enter image description here

Lo primero que deberás seleccionar es la IP de tu Cloud o servidor sobre la que deseas aplicar los perfiles. Si dispones de varias IPs deberás seleccionarlas en el desplegable superior.

SW Panel te ofrece ya, preestablecidos, múltiples perfiles de seguridad en función de los servicios que esté haciendo uso tu cloud o servidor.

Para activar o desactivar cualquiera de estos perfiles, simplemente pulsa el interruptor que aparece en la parte derecha de cada uno de los bloques de perfiles.

Una vez hayas realizado cambios, aparecerá en la parte superior de la pantalla un aviso en azul para aplicar los cambios que hayas realizado.

Importante:

Hasta que no pulses el botón de aplicar cambio, estos no se aplicarán a tu Firewall de Capa 4 con lo que los cambios no estarán activos.

Los perfiles que tengas activos aparecerán en verde, los que están en blanco no están activos.

Pestaña de Reglas de Firewall

La información de esta pestaña es mucho más técnica, y te informa de las reglas que actualmente tiene aplicadas tu Firewall de Capa 4 y las IPs sobre las que se aplican.

enter image description here

Las reglas que aparecen en color verde son reglas asociadas a los perfiles de seguridad, y no pueden modificarse ni eliminarse desde esta pestaña. Estas reglas deben ser gestionadas directamente desde la pestaña de perfiles de seguridad.

Las reglas en color amarillo son las que están asociadas a una IP bloqueada. Estas reglas deben ser gestionadas desde la pestaña de Bloqueo de IPs.

Campos del listado

  • Primer campo

    • Indica si la regla está activada o desactivada en el Firewall.
  • Id

    • Indica el identificador de la regla (numeración interna de control), simplemente es un valor informativo
  • Orden

    • Indica el orden en el que se aplica esta regla en el filtrado que está realizando tu Firewall de Capa 4.
    • El orden es muy importante, ya que las reglas se ejecutarán en el orden indicado. Debes tener en cuenta que las reglas que se contradigan pueden ser válidas si se ejecutan en el orden correcto.
    • El orden de ejecución siempre es de menor a mayor.
  • Nombre

    • Nombre de la regla (meramente informativo)
  • Origen

    • Indicará el origen del tráfico que gestionará esta regla.
    • Si aparece el cuadro “any” significa que se aplica a cualquier IP de origen
  • Destino

    • Indicará sobre qué IP de destino se aplicará esta regla. Normalmente estas IPs son las IPs de nuestro cloud o servicio.
  • Protocolo

    • Indicará el tipo de protocolo sobre el que se aplica la regla, TCP o UDP.
  • Puerto

    • Indicará el puerto o el rango de puertos sobre el que se aplicará esta regla.
    • Si aparece el cuadro “any” significa que se aplica a cualquier puerto.
    • Para definir un rango de puertos debe usarse el guión como separador. Por ejemplo: 4500-5000 (sin espacios). Esto abrirá los puertos desde el 4500 hasta el 5000 (ambos incluidos).
  • Dirección

    • Indica si se debe aplicar la regla para parar tráfico de entrada o tráfico de salida
  • Permitir

    • El cuadro en verde “Allow” significa que se permite este tráfico.
    • El cuadro en naranja “Deny” indica que no se permite este tráfico.
  • Gestionar

    • Muestra el menú de opciones disponibles para esta regla

Crear una regla de Firewall

Al pulsar este botón podrás crear una nueva regla en tu Firewall de Capa 4.

Para crear la regla debes cumplimentar todos los campos que se te solicitan.

El significado de cada campo te lo hemos detallado en el apartado anterior.

Ayuda

Encontrarás un cuadro informativo azul con un link para consultar los puertos sobre los que puedes crear tus reglas y el uso de cada puerto.

Pestaña de Bloqueo de IPs

Esta pestaña te mostrará todas las IPs que tienen bloqueado el acceso a tu Cloud o Servidor independientemente del puerto o protocolo con el que quieran acceder.

enter image description here

Campos del listado

  • Situación

    • Indica si se está aplicando o no. Si está activado el bloqueo aparecerá un cuadro azul indicando “activada”.
  • Identificador

    • Indica el identificador del bloqueo (numeración interna de control), simplemente es un valor informativo
  • Origen

    • IP de origen que deseamos bloquear
  • Destino

    • A cuál de las IPs de nuestro cloud o servidor deseamos que tenga bloqueado el acceso la IP de Origen
  • Gestionar

    • Muestra el menú de opciones disponibles para este bloqueo de IP.

Bloquear una IP

El proceso de bloqueo de una IP es muy sencillo:

Pulsa sobre el botón “bloquear una IP”

Se abrirá la pantalla de bloqueo de IPs

Indica la IP que deseas bloquear en el campo Origen

En Destino debes marcar las IPs de tu cloud o servidor a las que deseas bloquear el acceso de la IP que hayas indicado en Origen

Si deseas activar ahora mismo el bloqueo recuerda que debes tener marcado el “checkbox” del cuadro amarillo.

Una vez esté todo cumplimentado correctamente, aparecerá el botón “Bloquear IP”, sólo debes pulsarlo para bloquearla.

Desbloquear una IP

Si quieres desbloquear una IP que hayas bloqueado, la forma más sencilla es borrar el bloqueo.

Para borrar el bloqueo utiliza el menú “gestionar” de la línea de la IP bloqueada del listado y selecciona la opción “Borrar esta IP bloqueada”.

Una vez hayas confirmado que deseas borrarla, la IP dejará de estar bloqueada en breves instantes y desaparecerá esta línea del listado de IPs bloqueadas.

Utilizamos cookies para proporcionar nuestros servicios y para análisis y marketing. Para obtener más información sobre nuestro uso de cookies, consulte nuestra Información cookies. Al continuar navegando en nuestro sitio web, usted acepta nuestro uso de cookies.